О профессии
"А чего мне бояться?" - подумала
Красная Шапочка: "Лес я знаю, секс люблю". Примерно так думал я,
когда меня, ИТ-шника с 25-летним стажем работы в профессии, пригласили заняться
информационной безопасностью в банке.
Настоящий мужчина хочет двух вещей: опасности и игры. Опасность – это бизнес. Игра – это технологии. Как и где это может сочетаться в отдельно взятой компании? Профессия специалиста по ИБ, как мне казалось (и я не ошибся!), способна удовлетворить эти потребности в полной мере. Но в этом мне только предстояло разобраться, с головой окунувшись в новую профессию. С тех пор прошло 10 лет.
Первое, что я понял, занявшись ИБ, при любых изменениях будут
недовольные, которых устраивали прежние порядки
Многие работники компании твердо уверены, что у безопасности ответ всегда един: “запретим и не дадим”. Это касается, например, доступности на рабочем месте соцсетей, мессенджеров, почтовых сервисов, публичных облаков. Но и безопасности под силу творить, приумножать, радовать работников компании, так как современные технологии вполне способны оставлять процесс обеспечения безопасности за кадром, минимально привлекая к нему внимание пользователя. И это та цель, которую должна преследовать “умная” информационной безопасность в компании.
Огромный выбор технологий как защиты, так и нападения (термины игры) создают определенные сложности, а это служит вызовом для безопасности (появляется спортивный азарт в работе).
Клиенты банков хотят гонять деньги туда-сюда (как хороший футболист, пасуя партнёру в одно касание). А мы (безопасники) эти пасы перехватываем, иногда, как заправский защитник, а подчас, как футбольный рефери, останавливая “игру” свистком (например, после сработки правил антифрод-решения в системе ДБО). Иногда мы вынуждены констатировать, что партнёр нашего “игрока” заигрался, залез во “вне игры” (попал в список дропов) и пас (платёж) не проходит. Это что касается аналогии ИБ с игрой.
О пользе ИБ для бизнеса
Теперь про опасность в бизнесе. Как известно,
мирное время ничему не учит. Нам выпало жить в “военное” время кибервойн. В
условиях кризиса (финансового, экономического, политического) все носятся с
оптимизацией ресурсов, с оптимизацией рисков, с получением выгод. А тут ещё
киберпреступность атакует снаружи, изнутри, сбоку, а, с появлением “Интернета
вещей”, все начинают атаковать всех.
Улавливая сигналы внешнего мира, руководители компаний задумываются о необходимости повышения уровня осведомленности своих работников и обеспечения наличия у них навыков, необходимых для защиты от целенаправленных атак. Громкие, повсеместные инциденты ИБ наводят топ-менеджмент на мысль: если нас пока не взломали, то это скорее не вопрос “как?”, а вопрос “когда?”.
Если бизнес кого-то и уважает, так это того, кто всё просчитал и предвидел заранее. И в этом ИБ, при желании, может преуспеть.
Всех в компании интересует персональная ответственность и обязанности. А не хотите ли ознакомиться с нормативной базой по ИБ, где всё для всех прописано. Предоставление доступа к информационным системам компании – у каждого бизнес-процесса должен быть хозяин. У любого сетевого ресурса в корпоративной сети – свой владелец. Определены владельцы информации и информационных активов. Проведена инвентаризация и классификация информационных активов. Красота! Живи да радуйся!
Где ещё безопаснику получить знания о конкретных ожиданиях бизнеса в компании для понимания проблем в контексте бизнеса? Ну, например, общаясь с бизнесом на уровне рабочих групп, участвуя в презентациях и переговорах с поставщиками решений, занимаясь приемкой новых продуктов при внедрении. Участие ИБ во всех пилотных проектах компании, от операционной деятельности до кибербезопасности обязательно. Внедрение мобильного банка, новой парольной политики, нового технологического решения - без ИБ никуда. На ней первой ставят эксперименты. ИБ первая (вместе с ИТ) определяет несогласованность требований, ожиданий и реализации новых решений. Выискивает прорехи в стратегии бизнеса. Правильность избранного подхода определяется уровнем возникающего риска и величиной расходов, связанной с его снижением.
Для решения того или иного “больного” вопроса в компании приходиться искать максимум возможной поддержки со всех сторон (НПА от регулятора, рекомендации поставщика решения, понимание со стороны топ-менеджмента).
Буквально на наших глазах, за последние 7-8 лет безопасность стала обязательным требованием не только финансовой индустрии. Теперь она воспринимается как важная и неотъемлемая часть жизнедеятельности любой компании. Все начинают понимать, если у компании есть современные технологии, она найдет свой рынок (к Грефу не ходи). А новые технологии сопряжены с новыми рисками.
Но попробуйте выиграть футбольный матч, сознательно целясь мимо ворот. Нужна постановка целей и приоритизация задач. На протяжении последних лет превалировали негативные оценки финансовых перспектив развития бизнеса. Значит, самое время задуматься, что работает, а от чего вполне можно отказаться. Агрессивная ценовая политика поставщиков сервисов и решений – отказываемся, например, от sms в пользу push-уведомлений клиентов. Отказываемся от решений, которые не влияют на риски. Поставщик каждый год в разы повышает тарифы на дополнительные меры защиты системы ДБО, которые вообще для него побочный продукт, ищем альтернативу такому поставщику. Ситуация на рынке такова, что руководители компаний-поставщиков решений уже частенько не считают зазорным постоять в торговых рядах, предлагая свой продукт потенциальному покупателю.
О пользе знаний
Киберпреступность – это беспомощность одного
и безнаказанность другого, это неравенство в осведомленности в обществе. Кто-то
должен объяснить людям, что телефон – это тот же кошелек. И этим тоже должна
заниматься информационная безопасность. В применении к работе в компании это
могут быть плановые и внеплановые инструктажи, тренинги по информационной
безопасности, киберучения и разъяснения, разъяснения, разъяснения. Для защиты
компании и управления рисками ИБ – как в текущем моменте, так и в будущем -
нужны рекомендации, ориентированные на высшее руководство организации.
Второй вывод после 10 лет работы в ИБ: если вы не делаете ничего, заслуживающего внимания со стороны топ-менеджмента, то вы не сможете завоевать уважение в компании
На службу ИБ или, в зависимости от размеров компании, на менеджера по ИБ возлагаются функции организатора и координатора. Руководству компании важно понимать, что служба ИБ — это управляющее структурное подразделение, а не сервисное. В ИБ должны работать эксперты-аналитики с техническим бэкграундом, обладающие навыками эффективной коммуникации на всех уровнях иерархии компании, навыками управления проектами, обладающие деловыми качествами и глубоким погружением в бизнес-процессы компании. Чем выше уровень экспертов по ИБ, тем больше обязанностей и полномочий в части управления ИБ может быть делегировано им от руководителей бизнес-подразделений и топ-менеджмента компании.
Вопросы безопасности все более заметны на уровне бизнеса. ИТ-инфраструктура компании представляет собой сложную экосистему, и ИТ- и ИБ-специалистам нужны знания во всех ее аспектах. Специалисты, способные выполнять эту роль, должны иметь приличную стоимость на рынке труда. Но, конечно, это не всегда и не везде так. Чего греха таить, прикрыться от регуляторов формальным назначенцем из соображений “хуже не будет” думаю для многих руководителей компаний не составляет труда.
Ноль влияния и куча ответственности — это тупик для карьеры безопасника. Признаками такого тупика могут служить следующие факторы: отсутствие взаимопонимания с руководством, недостаточный бюджет, выделяемый на сферу кибербезопасности, игнорирование или сведение к минимуму кибербезопасности в процессе планирования и принятия решений в компании.
К сожалению, многие специалисты по безопасности уделяют больше внимания технологиям, а не перечисленным выше бизнес-аспектам информационной безопасности.
О хакерстве и не только
Порядочные люди, руководствуясь своей
нравственностью, поступают честно. Не порядочные люди поступают правильно в
контролируемой ситуации и, как правило, не честно, если контроль отсутствует (Аристотель)
Возможность украсть создает вора (Ф.Бэкон)
Что отличает хакера от специалиста со схожими знаниями и навыками (иногда, это безопасник), кроме быстрого освоения требуемых навыков?
Знания и умения хакера – это не что-то выдающееся. Это навыки, которые приобретаются при наличии живого интереса, при повышенной мотивации и огромном желании достичь результата. И, конечно, этому сопутствует упорный труд.
Если человеку что-то дано, то он просто обязан это как-то реализовывать. Если у человека тяга к цифровым технологиям, то где ему найти применение собственным способностям с прилагающейся к этому справедливой и адекватной оплатой и при этом не переходя на “тёмную” сторону? Предложу ответ: в сфере информационной безопасности. Требуются только интеллект, талант, упорство и правильный выбор фокуса: где, в чем и как найти приложение собственным талантам.
Специалисты по информационной безопасности скоро станут еще более востребованными в мире, где из-за наплыва новых IP-устройств неизбежно вырастет число уязвимостей. DDoS-атаки, уже сегодня организуемые с применением “Интернета вещей” – это только проба сил и обкатка технологий. С появлением “Интернета вещей” у киберпреступности появляются огромные возможности. Например, рост программ-вымогателей в 2016 году составил по данным исследовательской компании Trend Micro 172%. А так как любое устройство в современном доме уже имеет или скоро будет иметь свой IP-адрес (а это даёт возможность управления через Интернет), то киберпреступники смогут блокировать не только смартфоны и компьютеры, но также автомобили, смарт-часы и другие подключенные к Интернету механизмы и устройства. Кто-то должен этому противостоять на бытовом уровне, кроме государства и правоохранительных органов.
По прогнозам экспертов ИБ в обозримом будущем наиболее востребованными будут специалисты по оценке защищенности, инфраструктуре открытого ключа, этичному хакерству, анализу вторжений, корпоративным системам защиты, криминалистической экспертизе, защите беспроводных сетей. На горизонте маячит новая задача для ИБ по защите криптовалютной инфраструктуры.
Повсеместно в компаниях будет исповедоваться принцип "развивайся или уходи", а в применении к информационной безопасности это относится в первую очередь.
Прогнозы на год Петуха
Скучно в следующем году точно не будет. Вот
мой местами шуточный (а местами - грустный) прогноз на год 100-летней годовщины
Октябрьской революции.
- Весна: с повышенной интенсивностью продолжится законотворчество в сфере кибербезопасности, нoвыe нормативные тpeбoвaния регуляторов - этo нoвый план работ для службы ИБ;
- Лето: Сбербанк начинает “пылесосить” кадры и скупать компании в США и по всему миру;
- Осень: традиционная зачистка банков (банкопад на фоне листопада);
- Зима и не только: к сожалению, продолжится разгул киберпреступности и DDoS-атак: все атакуют всех.
Чтобы закончить на позитивной ноте, предположу, что, как всегда, в тренде будет мода на:
искусственный интеллект, биометрические технологии, кибербезопасность, большие данные, криптовалюты и распространение цифровых технологий на все сферы жизни и деятельности.
С Новым годом, друзья!
Комментариев нет:
Отправить комментарий